Introdução
Este guia detalha o processo de configuração de um cliente OpenVPN em dispositivos MikroTik RouterBoard utilizando exclusivamente a interface WebFig, com base em um arquivo de configuração .ovpn fornecido por um provedor VPN. O método elimina a necessidade de ferramentas de terceiros ou acesso ao terminal, garantindo segurança e controle total sobre as credenciais.
Pré-requisitos
- Acesso administrativo ao WebFig da RouterBoard
- Arquivo .ovpn válido do provedor VPN
- Conexão de internet funcional no dispositivo
Passo 1: Extração dos Componentes do Arquivo .ovpn
Abra o arquivo .ovpn em um editor de texto simples e identifique as seguintes seções:
- Certificado CA: Texto entre as tags
<ca>e</ca>– salve comoca.crt - Certificado do Cliente: Texto entre
<cert>e</cert>– salve comoclient.crt - Chave Privada: Texto entre
<key>e</key>– salve comoclient.key Chave TLS (opcional): Se presente, texto entre<tls-auth>e</tls-auth>– salve comotls.key
Passo 2: Importação de Certificados no WebFig
- Navegue até System > Certificates
- Importe na ordem exata:
- Clique em Choose File e selecione
ca.crt, depois Import - Repita para
client.crteclient.key Se aplicável, importetls.key
- Verifique os nomes finais dos certificados em System > Certificates (os arquivos importados ganham sufixo
_0, ex:client.crt_0) (ISSO NOS FIRWARES ANTIGOS)
Passo 3: Criação do Cliente OpenVPN
- Acesse PPP > Interfaces
- Clique em + e selecione OVPN Client
- Preencha os campos obrigatórios:
| Campo | Valor/Configuração |
|---|---|
| Name | Nome descritivo (ex: “VPN-Provedor”) |
| Connect To | Endereço do servidor (linha remote no .ovpn) |
| Port | Porta do servidor (padrão: 1194) Só funciona se for TCP |
| User/Password | Credenciais se exigidas pelo provedor |
| Certificate | Selecione client.crt_0 Nos novos firlwares aparece o nome que vc declara na importação |
| Auth Algorithm | Algoritmo do .ovpn (ex: sha256) |
| Cipher | Cifra do .ovpn (ex: aes-256-cbc) |
| TLS | Marque Verify Server Certificate |
Se usoutls.key:
Em TLS Auth Key, selecionetls.key_0Defina TLS Mode como yes
Passo 4: Ativação e Verificação
- Volte para PPP > Interfaces
- Localize o cliente criado e clique no ícone de conexão (seta para cima)
- Verifique o status:
- Conexão bem-sucedida: ícone ficará verde
- Falha: clique no cliente e verifique a aba Log para detalhes
Solução de Problemas Comuns
- Certificados não reconhecidos: Confira a ordem de importação (CA → Cert → Key) e os nomes exatos em System > Certificates
- Erro de autenticação: Verifique User/Password e se o certificado está vinculado ao usuário
- Timeout: Confira firewall e se a porta/protocolo (UDP/TCP) batem com o .ovpn
Considerações de Segurança
- Após a importação, exclua os arquivos temporários (
ca.crt,client.key, etc.) do seu computador - Nunca compartilhe
client.keyoutls.key - Para maior segurança, restrinja o acesso ao WebFig via firewall
OBSERVAÇÕES SOBRE AUTH:
1. Autenticação Apenas por Certificado (deve ter usuário e senha)
Sim, se o servidor OpenVPN estiver configurado para autenticação exclusiva via certificado (sem auth-user-pass no arquivo .ovpn):
Deixe os campos User e Password em branco no WebFig.- Os firmwares atuais, só efetuam o acesso quando existe uma autenticação por usuário e senha em sincronia com o certificado
- A conexão será estabelecida apenas com:
- Certificado do cliente (
client.crt) - Chave privada (
client.key) - Validação do certificado CA pelo MikroTik (se
Verify Server Certificateestiver ativado).
Verificação Necessária:
- Abra seu arquivo
.ovpne confirme se não contém a diretivaauth-user-pass. Se existir, o servidor exige usuário/senha.
2. Papel do Certificado CA
Você está correto: O CA (Certificate Authority) não é usado para autenticar o cliente, mas sim para:
- Validar o servidor VPN:
- Quando
Verify Server Certificateestá habilitado, o MikroTik usa oca.crtpara checar se o certificado do servidor foi emitido por uma CA confiável. - Isso previne ataques MITM (homem-no-meio).
- Hierarquia de confiança:
- O servidor VPN usa o CA para validar o certificado do cliente (
client.crt). Ou seja: a autenticação bilateral depende do CA, mas o cliente (MikroTik) só precisa doca.crtpara verificar o servidor.
Exemplo Prático (WebFig):
- Se o
.ovpnnão temauth-user-pass:
- Deixe
UserePasswordvazios. - Certifique-se de que:
client.crteclient.keyestão corretamente importados.Verify Server Certificateestá marcado (recomendado).
- Se o servidor não pede verificação do CA:
- Desmarque
Verify Server Certificate(raro, mas alguns provedores usam autenticação apenas por chave pré-compartilhada).
Dica de Troubleshooting:
- Erro “TLS Error”:
- Habilite os logs em PPP > Interfaces > [Seu VPN] > Log e verifique se há mensagens como:
TLS: Initial packet from [IP](sucesso na negociação).VERIFY ERROR: depth=0(problema com o CA ou certificado do servidor).
- Conexão cai após alguns segundos:
- Confira se o
ciphereauthbatem com o servidor (ex: servidor usandoaes-256-gcme clienteaes-256-cbccausa falha).
Resumo:
Sem usuário/senha no.ovpn? → Deixe em branco no WebFig.- CA só importa para validar o servidor (a menos que o servidor exija verificação mútua).
- Sempre verifique os logs para diagnósticos precisos.
Para resumir o essencial:
Autenticação só por certificado → User/Password em branco no WebFig.- CA é o “carimbo” que valida o servidor VPN (não o cliente).
Conclusão
Este método garante uma configuração limpa e segura diretamente pela interface WebFig, sem depender de conversores externos ou comandos CLI. Para provedores VPN com configurações específicas (como compressão ou rotas personalizadas), ajuste os parâmetros adicionais conforme necessário.
